come hackerare un sito (no root)

domenica, 10 Novembre 2019 / Pubblicato il Hacker

in questo video vi spiego come hackerare un sito con un programma ecco il link: http://tutorialcomputerteck.altervista.org/download-dos.html
vi ricordo che il video è solo a scopo informativo e non mi prendo responsabilita di alcun genere.

Come usare Game Hacker (ROOT)

lunedì, 14 Ottobre 2019 / Pubblicato il Hacker

Questo è tutto, per scaricarlo basta scrivere su google “Game Hacker apk download” e cercare un pò, ah, per poterlo usare bisogna avere i permessi root, bella a tutti ;D
Video Rating: / 5

zANTI Zimperium Facebook SSLStrip Attack Man In The Middle (ROOT)

lunedì, 02 Settembre 2019 / Pubblicato il Hacker

[zAnti] SSLstrip Get login info + hack Iphone with android
How to upload a virus to a computer using zanti
Hacking with Android – zANTI Redireccionar
Hack facebook or view logged requests using zanti
Hacking with Android Part 1: Intercepter-NG (HD)
Android hacking with zANTI (ROOT)
Video Rating: / 5

Instagram hack (no root 2018/2019)

mercoledì, 19 Giugno 2019 / Pubblicato il Hacker

#DURecorder
This is my video recorded with DU Recorder. It’s easy to record your screen and livestream. Download link:
Android: https://goo.gl/s9D6Mf
iOS: https://goo.gl/nXnxyN

Link too dowload: https://latestmodapks.com/gb-instagram-apk-download-android/

Comment for what you want me to hack for you..

My snapchat: Seifdawod60
Add for hjelp

Getting root: unknowndevice64: 1

domenica, 09 Giugno 2019 / Pubblicato il Hacking

nknowndevice64 è una macchina boot2root che su VulnHub viene descritta come di media difficoltà, forse per la parte che riguarda l’analisi steganografica di un’immagine.

La parte di privilege escalation è abbastanza semplice e sfrutta una misconfiguration del sistema.

Information gathering

Una volta scaricata l’immagine della macchina virtuale dal sito e importata in VirtualBox, ci appare una schermata di login testuale di una macchina Linux.

Prima schermata della macchina virtuale

Visto che non conosco l’indirizzo IP del mio obbiettivo, uso il tool netdiscover per fare una scansione e vedere chi è vivo nella subnet della mia macchina Kali.

Il comando netdiscover -i eth0 -r 192.168.56.0/24 mi restituisce alcuni indirizzi IP sulla mia rete 192.168.56.x tra cui un 192.168.56.110 che è quello della mia nuova vittima designata.

 Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                                                                                                                                                                                                                     5 Captured ARP Req/Rep packets, from 4 hosts.   Total size: 300                                                                                                  _____________________________________________________________________________    IP            At MAC Address     Count     Len  MAC Vendor / Hostname        -----------------------------------------------------------------------------  192.168.56.100  08:00:27:f4:0c:04      1      60  PCS Systemtechnik GmbH                                                                                         192.168.56.102  08:00:27:52:4b:cf      1      60  PCS Systemtechnik GmbH                                                                                         192.168.56.109  00:0c:29:59:02:fa      2     120  VMware, Inc.                                                                                                   192.168.56.110  08:00:27:a4:d5:b4      1      60  PCS Systemtechnik GmbH

Andando a vedere quali servizi sono esposti, possiamo osservare che sono aperte due porte non standard per SSH e per il sito Web.

[root:~]# nmap -p- 192.168.56.110 -sV Starting Nmap 7.70 ( https://nmap.org ) at 2019-05-09 14:20 CEST mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers Nmap scan report for 192.168.56.110 Host is up (0.000051s latency). Not shown: 65533 closed ports PORT      STATE SERVICE VERSION 1337/tcp  open  ssh     OpenSSH 7.7 (protocol 2.0) 31337/tcp open  http    SimpleHTTPServer 0.6 (Python 2.7.14) MAC Address: 08:00:27:A4:D5:B4 (Oracle VirtualBox virtual NIC)  Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 7.48 seconds

Il sito web appare scarno con un messaggio subliminale nascosto come spesso accade tra i commenti.

Codice sorgente della pagina

Il commento rivela l’esistenza di un’immagine il cui contenuto evoca che sia nascosto qualche forma di segreto attraverso la steganografia.

key is h1dd3n

Usando il tool steghide e usando h1dd3n come chiave, come suggeritoci dal nome dell’immagine, siamo in grado di estrarre un file di testo.

Steghide

Il file contiene del codice scritto in Brainfuck, linguaggio nato per essere implementato con un compilatore il più piccolo possibile.

Utilizzando un decoder online, otteniamo quella che sembra una credenziale.

ud64:1M!#64@ud

Collegandoci in SSH come utente ud64, ci troviamo però di fronte a quella che sembra essere una restricted shell.

rbash

Fortunatamente esistono vari modi per sfuggire a questa gabbia e di solito vengono sfruttate le funzionalità offerte da strumenti come vi o man, di lanciare comandi shell.

Quello che ho fatto è stato:

  • lanciare un vi e far aprire una shell
  • esportare un PATH in maniera tale da poter richiamare i comandi in maniera più agevole
  • provare a lanciare un sudo -l per vedere se c’erano programmi che potevo eseguire come root senza password. Fortunatamente un clone di strace era disponibile.
  • root dance.

Il tutto documentato da questo filmato:

Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.